系统架构设计师-信息安全核心要素与等级保护制度

一、引言

1. 信息安全的定义

信息安全是指通过采取技术和管理措施，保护信息系统的硬件、软件、数据不受偶然或恶意的原因遭到破坏、更改、泄露，保障系统连续可靠运行、信息服务不中断的完整体系。该定义包含三个核心维度：一是保护对象覆盖基础设施、应用系统、数据资产全栈；二是防护范围包含偶然故障、人为攻击、自然灾害等全场景风险；三是最终目标指向业务连续性与资产价值保护。

2. 在软考知识体系中的定位

信息安全是软考高级系统架构设计师考试的核心考点，在《系统架构设计师考试大纲》中属于 "系统质量属性设计" 与 "系统安全架构设计" 模块，占上午综合知识题 15%-20% 的分值，同时是下午案例分析与论文写作的高频命题方向，要求考生不仅掌握基础概念，还能结合架构场景制定安全设计方案。

3. 技术发展脉络

信息安全的发展经历了三个核心阶段：1970-1990 年为通信安全阶段，核心目标是解决数据传输的加密问题，代表性标准为美国国防部发布的《可信计算机系统评估准则》（TCSEC，橘皮书）；1990-2010 年为信息安全阶段，防护范围扩展到存储、计算全流程，形成了机密性、完整性、可用性的经典三元组框架；2010 年至今为网络空间安全阶段，防护对象覆盖工业控制系统、物联网、云基础设施等新型场景，可控性、可审查性要素被纳入核心框架，我国等级保护制度也从 1.0 升级到 2.0 版本。

4. 本文知识点覆盖

本文将系统讲解信息安全五大核心要素、常见安全威胁分类、我国网络安全等级保护制度三大核心知识点，同时明确软考高频考点与架构设计实践要点。

二、信息安全五大基本要素

这是信息安全领域最经典、最核心的框架，是理解所有安全技术的出发点。根据《信息安全技术 术语》（GB/T 25069-2022），信息安全包括以下 5 个基本要素：

1. 机密性

（1）定义与原理

机密性指确保信息不泄露给未授权的用户、实体或过程，核心机制是通过访问控制与加密技术，建立信息访问的权限边界，最小化敏感信息的暴露面。其技术实现分为两个层级：传输层机密性通过 TLS、IPSec 等加密协议保障数据在传输过程中不被窃听；存储层机密性通过对称加密（AES）、非对称加密（RSA）、哈希脱敏等技术保障数据存储状态下不被未授权访问。

（2）技术细节与案例

金融行业的用户支付信息存储要求符合 PCI DSS 标准，用户银行卡号存储时必须对中间 6-12 位进行脱敏处理，敏感字段采用 AES-256 算法加密，密钥由专用密钥管理系统（KMS）独立存储，运维人员无法直接获取明文数据。2023 年某电商平台因未加密存储用户身份证信息，导致 1000 万条用户数据泄露，违反了《个人信息保护法》要求，被处以 5000 万元罚款，本质就是机密性防护失效。

2. 完整性

（1）定义与原理

完整性指确保信息未经授权不能进行更改，保障数据的准确性和可靠性，防止数据在存储或传输过程中被恶意篡改或意外损坏。其核心技术机制是数字摘要与数字签名：通过 SHA-256 等哈希算法生成数据的唯一摘要值，对比接收端与发送端的摘要值即可验证数据是否被篡改；非对称加密技术实现的数字签名可以同时验证数据来源与完整性。

（2）技术细节与案例

区块链的核心设计就是基于完整性校验机制，每个区块包含上一个区块的哈希值，一旦某区块数据被篡改，其后续所有区块的哈希值都会失效，从而实现不可篡改的特性。政务系统的电子证照采用 SM2 国密算法进行数字签名，用户获取的电子证照可以通过国家政务服务平台的验签接口验证完整性，防止证照伪造。

3. 可用性

（1）定义与原理

可用性指确保合法许可的用户能够及时获取网络信息或服务，核心指标为系统可用率（通常要求达到 99.9% 及以上）、平均故障恢复时间（MTTR）、服务响应延迟。其防护机制包括冗余设计、流量清洗、容错架构三类，目标是抵御拒绝服务攻击、硬件故障、自然灾害等风险导致的业务中断。

（2）技术细节与案例

某头部云厂商的对象存储服务采用三地五中心的冗余架构，单区域发生故障时可在 30 秒内自动切换到备用节点，可用性达到 99.995%，年停机时间不超过 5 分钟。2024 年某游戏公司遭受峰值 1.5Tbps 的 DDoS 攻击，通过部署流量清洗系统识别并过滤恶意流量，保障了正常用户的服务访问，就是可用性防护的典型应用。

4. 可控性

（1）定义与原理

可控性指可以控制授权范围内的信息流向及行为方式，核心是建立基于角色的访问控制体系，实现对用户权限的全生命周期管理。其技术实现包含身份认证、权限分配、行为审计三个环节，遵循最小权限原则，即用户仅获得完成本职工作所需的最小权限。

（2）技术细节与案例

企业内部的 ERP 系统通常采用 RBAC（基于角色的访问控制）模型，财务人员仅拥有财务模块的访问权限，供应链人员仅拥有库存管理模块的访问权限，管理员可以实时调整用户角色与权限，防止越权访问。《网络安全法》要求关键信息基础设施运营者必须对系统管理员、运维人员的操作权限进行严格管控，本质就是可控性要求的落地。

5. 可审查性

（1）定义与原理

可审查性指对出现的网络安全问题提供调查的依据和手段，核心是通过审计日志完整记录用户的所有操作行为，满足事后追溯和责任认定的需求。审计日志需要包含操作人、操作时间、操作对象、操作内容、IP 地址等核心字段，且日志本身必须采用不可篡改的存储方式，保留周期不少于 6 个月。

（2）技术细节与案例

证券交易系统的所有用户操作日志必须保留 20 年以上，发生交易纠纷时可以通过审计日志追溯操作全过程，认定责任归属。2023 年某企业发生内部数据泄露事件，通过运维操作日志定位到某运维人员违规下载了客户数据，为案件侦破提供了核心证据，就是可审查性的价值体现。

信息安全五大要素关系示意图，标注每个要素对应的核心技术、典型应用场景、防护目标。

三、信息安全主要威胁与防护目标

了解防御对象是有效设计安全架构的前提，根据《信息安全技术 信息安全风险评估规范》（GB/T 20984-2022），网络安全威胁分为以下五类，对应的防护目标包含五个维度：

1. 主要威胁分类

（1）非授权访问

指攻击者绕过身份认证机制非法进入系统，常见攻击手段包括弱口令爆破、未授权接口访问、权限绕过漏洞利用等。2024 年某企业的运维管理后台因使用默认口令，被攻击者登录后删除了核心业务数据，造成直接经济损失 2000 万元。

（2）信息泄露或丢失

指敏感数据被未授权获取或意外销毁，常见场景包括数据库拖库、云存储配置错误公开、存储介质损坏等。2023 年某社交平台因 API 接口未做权限校验，导致 5 亿条用户个人信息被爬取泄露，属于典型的信息泄露事件。

（3）破坏数据完整性

指攻击者恶意篡改系统数据，常见攻击手段包括 SQL 注入篡改数据库内容、传输过程中篡改数据包、勒索病毒加密数据等。2022 年某医疗机构遭受勒索病毒攻击，核心诊疗数据被加密，导致门诊业务中断 3 天，属于数据完整性被破坏的典型案例。

（4）拒绝服务攻击

指攻击者通过发送大量恶意请求耗尽系统资源，使合法用户无法获得服务，常见类型包括流量型 DDoS、资源耗尽型 CC 攻击、应用层拒绝服务攻击等。2024 年春运期间，某票务平台遭受峰值 2 亿 QPS 的 CC 攻击，导致 1 小时内用户无法正常购票，就是拒绝服务攻击的影响。

（5）恶意代码传播

指攻击者通过网络传播病毒、木马、蠕虫、 ransomware 等恶意代码，感染终端或服务器，常见传播途径包括钓鱼邮件、漏洞利用、恶意软件下载等。2021 年爆发的 Log4j2 漏洞，攻击者通过构造恶意请求在目标服务器执行任意代码，全球超过 30% 的企业系统受到影响。

2. 对应防护目标

（1）访问控制

通过身份认证、权限分配、访问控制列表等机制，仅允许授权用户访问系统资源，抵御非授权访问威胁。

（2）认证

通过用户名密码、短信验证码、生物识别、多因素认证等方式，验证用户身份的合法性，防止身份伪造。

（3）完整性校验

通过哈希校验、数字签名等机制，验证数据的完整性，防止数据被篡改。

（4）审计

通过全链路操作日志记录，实现对所有用户行为的可追溯，满足责任认定与事件调查需求。

（5）保密

通过加密、脱敏等技术，保障敏感数据不被未授权访问，防止信息泄露。

信息安全威胁与防护目标对应关系表，包含威胁类型、常见攻击手段、对应防护技术、典型案例四个维度。

四、计算机信息系统安全保护等级制度

等级保护是我国信息安全保障的基本制度和核心国标，依据《计算机信息系统安全保护等级划分准则》（GB 17859-1999），根据系统遭到破坏后的损害程度，将信息系统分为五个安全保护等级：

1. 等级划分标准

（1）第一级：用户自主保护级

• 适用对象：普通内联网用户、小型企业的非核心办公系统。
• 损害影响：系统遭到破坏后，会损害公民、法人等的合法权益，但不损害国家安全、社会秩序和公共利益。
• 核心要求：由用户自主控制访问权限，具备基本的身份认证能力，无需进行等级保护备案。

（2）第二级：系统审计保护级

• 适用对象：需保密的非重要单位系统，如中小电商平台、普通企业的业务系统、县级非核心政务系统。
• 损害影响：系统遭到破坏后，对公民、法人等的合法权益造成严重损害，或者损害社会秩序和公共利益，但不损害国家安全。
• 核心要求：具备系统审计能力，能够记录用户的关键操作行为，需要在公安机关进行等级保护备案，每两年进行一次等级测评。

（3）第三级：安全标记保护级

• 适用对象：地方国家机关、金融机构、通信运营商、交通枢纽、重点能源企业、三甲医院等单位的核心业务系统，以及面向公众提供服务的大型互联网平台。
• 损害影响：系统遭到破坏后，对社会秩序和公共利益造成严重损害，或者直接损害国家安全。
• 核心要求：对访问对象设置安全标记，实现强制访问控制，具备完备的安全防护体系，每年进行一次等级测评，是软考高频考点，明确规定军用不对外公开的信息系统安全等级至少应为第三级及以上。

（4）第四级：结构化保护级

• 适用对象：中央国家机关、广播电视部门、应急指挥部门、尖端科技领域、国防科研单位的重要核心系统。
• 损害影响：系统遭到破坏后，对国家安全造成严重损害。
• 核心要求：系统架构采用结构化设计，安全模块独立部署，具备容错与容灾能力，每半年进行一次等级测评。

（5）第五级：访问验证保护级

• 适用对象：国防关键部门、需要特殊隔离的国家核心机密系统。
• 损害影响：系统遭到破坏后，对国家安全造成特别严重损害。
• 核心要求：具备访问验证机制，所有访问请求必须经过强制校验，系统与公共网络物理隔离，由国家指定部门进行专门监管。

等级保护五级划分示意图，标注每个等级的适用对象、损害影响、核心要求、测评周期。

2. 等级保护 2.0 升级要点

2019 年我国正式实施等级保护 2.0 标准，相比 1.0 版本有三个核心变化：一是防护范围扩展，覆盖云计算、大数据、物联网、工业控制系统、移动互联网等新型场景；二是防护理念升级，从被动防护转变为主动防御、动态感知、纵深防护；三是技术要求细化，新增了风险评估、安全监测、应急响应等管理要求，明确了 "一个中心、三重防护" 的架构框架，即安全管理中心、通信网络防护、区域边界防护、计算环境防护。

等级保护 2.0"一个中心、三重防护" 架构图，展示各模块的交互关系与核心技术组件。

五、软考考点与架构设计实践要点

1. 高频考点提示

（1）上午综合知识考点

信息安全五大要素的概念区分（重点关注可控性与可审查性的差异）、等级保护各级的适用对象与损害影响（重点掌握第三级的适用场景）、常见安全威胁对应的防护技术，该部分每年命题量在 8-10 题，是得分重点。

（2）下午案例分析考点

通常给出某企业的系统架构场景，要求分析当前架构存在的安全风险，针对机密性、完整性、可用性要求提出对应的解决方案，或者要求说明等级保护三级系统的核心设计要求。

（3）论文写作考点

"系统安全架构设计" 是每年的备选论文题目之一，要求考生结合项目实践，阐述安全架构的设计思路，五大要素与等级保护要求是核心写作框架。

2. 架构设计最佳实践

（1）安全架构设计流程

首先进行资产梳理与风险评估，明确系统的安全等级要求；其次按照 "纵深防御" 原则设计安全体系，覆盖网络层、主机层、应用层、数据层全栈；最后建立安全运营体系，实现持续监测、应急响应、定期优化的闭环管理。

（2）常见设计误区

避免重技术轻管理：80% 的安全事件源于管理漏洞，必须建立完善的安全管理制度、人员培训体系、应急响应预案；避免过度防护：根据系统的等级要求选择合适的防护方案，第三级以下系统无需过度投入安全成本，平衡安全需求与投入产出比。

信息安全架构设计流程图，包含风险评估、方案设计、落地实施、运营优化四个阶段的核心动作。

六、总结与建议

1. 核心要点提炼

信息安全的五大核心要素是机密性、完整性、可用性、可控性、可审查性，是所有安全技术的设计出发点；常见安全威胁分为非授权访问、信息泄露、破坏完整性、拒绝服务、恶意代码传播五类，对应访问控制、认证、完整性校验、审计、保密五大防护目标；我国等级保护制度将系统分为五级，核心依据是系统破坏后的损害程度，第三级是关键信息基础设施的最低等级要求。

2. 备考建议

首先掌握核心概念，能够准确区分五大要素的差异，熟记等级保护各级的适用场景；其次结合架构场景理解技术实现，明确每个安全要素对应的技术方案；最后通过历年真题练习，掌握考点的命题规律，案例分析与论文写作要注意结合等级保护要求阐述设计思路。
信息安全是系统架构设计的核心组成部分，后续我们将继续讲解身份认证、数据加密、零信任架构等进阶安全技术，帮助大家构建完整的安全知识体系，高效备考软考高级系统架构设计师考试。